Firehol: iptables cho con người (Arch)

Trước hết, tất cả các khoản tín dụng sẽ được chuyển đến @YukiteruAmano, bởi vì bài đăng này dựa trên hướng dẫn bạn đã đăng trên diễn đàn. Sự khác biệt là tôi sẽ tập trung vào Arch, mặc dù nó có thể hoạt động cho các bản phân phối khác dựa trên systemd.

Firehol là gì?

hố lửa, là một ứng dụng nhỏ giúp chúng ta quản lý tường lửa được tích hợp vào nhân và công cụ của nó iptables. Firehol thiếu giao diện đồ họa, tất cả các cấu hình phải được thực hiện thông qua các tệp văn bản, nhưng mặc dù vậy, cấu hình vẫn đơn giản cho người dùng mới làm quen, hoặc mạnh mẽ cho những người tìm kiếm các tùy chọn nâng cao. Tất cả những gì Firehol làm là đơn giản hóa việc tạo các quy tắc iptables nhiều nhất có thể và kích hoạt tường lửa tốt cho hệ thống của chúng tôi.

Cài đặt và cấu hình

Firehol không có trong kho lưu trữ chính thức của Arch, vì vậy chúng tôi sẽ đề cập đến AUR.

yaourt -S firehol
Sau đó, chúng tôi đi đến tệp cấu hình.

sudo nano /etc/firehol/firehol.conf

Và chúng tôi thêm các quy tắc ở đó, bạn có thể sử dụng bạn là.

Tiếp tục kích hoạt Firehol cho mỗi lần khởi động. Khá đơn giản với systemd.

sudo systemctl enable firehol

Chúng tôi bắt đầu Firehol.

sudo systemctl start firehol

Cuối cùng, chúng tôi xác minh rằng các quy tắc iptables đã được tạo và tải chính xác.

sudo iptables -L

Tắt IPv6

Như firehol không xử lý bảng ip6 và vì hầu hết các kết nối của chúng tôi không hỗ trợ IPv6, khuyến nghị của tôi là vô hiệu hóa nó.

En Arch chúng tôi thêm ipv6.disable = 1 đến dòng hạt nhân trong tệp / etc / default / grub


...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...

Bây giờ chúng tôi tái tạo grub.cfg:

sudo grub-mkconfig -o /boot/grub/grub.cfg

En Debian đủ với:

sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf


26 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   Felipe dijo

    Tôi không hiểu. Bạn làm theo hướng dẫn và bạn đã có Tường lửa chạy và chặn tất cả các kết nối? Một điều khác Một hướng dẫn cho Arch rất phức tạp, ví dụ như tôi chưa bao giờ sử dụng Tường lửa sudo hoặc yaourt. Tuy nhiên nó được hiểu. Hoặc có thể ai đó mới viết yaourt và sẽ gặp lỗi. Đối với Manjaro thì đúng hơn.

    1.    yukiteru dijo

      Như bạn nói @felipe, làm theo hướng dẫn và đưa vào tệp /etc/firehol/firehol.conf các quy tắc do @cookie đưa ra trong quá trình dán, bạn sẽ có một bức tường lửa đơn giản để bảo vệ hệ thống ở mức cơ bản. Cấu hình này hoạt động đối với bất kỳ bản phân phối nào mà bạn có thể đặt Firehol, với đặc thù của mỗi bản phân phối, nó xử lý các dịch vụ của nó theo những cách khác nhau (Debian thông qua sysvinit, Arch với systemd) và đối với cài đặt, mọi người đều biết họ có những gì, trong Arch bạn phải sử dụng các kho lưu trữ AUR và yaourt, trong Debian, các kho lưu trữ chính thức là đủ, và vì vậy trong nhiều kho khác, bạn chỉ cần tìm kiếm một chút trong kho và điều chỉnh lệnh cài đặt.

  2.   ci dijo

    cảm ơn, tôi lưu ý.

  3.   Config dijo

    Tất cả những điều đó đều rất tốt ... nhưng điều quan trọng nhất còn thiếu; Bạn phải giải thích các quy tắc được tạo ra như thế nào !!, ý nghĩa của chúng, cách tạo các quy tắc mới ... Nếu không giải thích điều đó, những gì bạn đưa ra sẽ chẳng có ích gì: - /

    1.    yukiteru dijo

      Việc tạo các quy tắc mới rất đơn giản, tài liệu firehol rõ ràng và rất chính xác về việc tạo các quy tắc tùy chỉnh, vì vậy đọc một chút sẽ giúp bạn dễ dàng tùy chỉnh và điều chỉnh nó theo nhu cầu của mình.

      Tôi nghĩ lý do ban đầu cho bài đăng @cookie giống như của tôi trên diễn đàn là để cung cấp cho người dùng và người đọc một công cụ cho phép họ cung cấp cho máy tính của mình thêm một chút bảo mật, tất cả đều ở mức cơ bản. Phần còn lại để lại cho bạn để thích nghi với nhu cầu của bạn.

    2.    Cookie dijo

      Nếu bạn đọc liên kết đến hướng dẫn Yukiteru, bạn sẽ nhận ra rằng mục đích là công khai ứng dụng và cấu hình của một tường lửa cơ bản. Tôi đã làm rõ rằng bài đăng của tôi chỉ là một bản sao tập trung vào Arch.

  4.   khỉ đột dijo

    Và đây là 'cho con người'? o_O
    Hãy thử Gufw trên Arch: https://aur.archlinux.org/packages/gufw/ >> Nhấp vào Trạng thái. Hoặc ufw nếu bạn thích terminal: sudo ufw enable

    Bạn đã được bảo vệ nếu bạn là người dùng bình thường. Đó là 'cho con người' 🙂

    1.    sống động dijo

      Firehol thực sự là một Front-End cho IPTables và nếu chúng ta so sánh nó với cái sau, nó khá giống con người 😀

    2.    yukiteru dijo

      Tôi coi ufw (Gufw chỉ là một giao diện của nó) là một lựa chọn tồi về mặt bảo mật. Lý do: đối với các quy tắc bảo mật khác mà tôi đã viết trong ufw, tôi không thể ngăn điều đó trong các bài kiểm tra tường lửa của tôi cả qua Web và những lần tôi thực hiện bằng nmap, các dịch vụ như avahi-daemon và exim4 sẽ xuất hiện và một cuộc tấn công "lén lút" đủ để biết các đặc điểm nhỏ nhất của hệ thống, hạt nhân và các dịch vụ của tôi mà nó chạy, một điều chưa từng xảy ra với tôi khi sử dụng tường lửa của firehol hoặc arno.

      1.    giskard dijo

        À, tôi không biết bạn thế nào, nhưng như tôi đã viết ở trên, tôi sử dụng Xubuntu và tường lửa của tôi đi với GUFW và tôi đã vượt qua TẤT CẢ các bài kiểm tra về liên kết mà tác giả đặt ra mà không gặp vấn đề gì. Tất cả tàng hình. Không có gì mở. Vì vậy, theo kinh nghiệm của tôi ufw (và do đó là gufw) chúng rất tuyệt đối với tôi. Tôi không chỉ trích việc sử dụng các chế độ kiểm soát tường lửa khác, nhưng gufw hoạt động hoàn hảo và mang lại kết quả bảo mật tuyệt vời.

        Nếu bạn có một số bài kiểm tra mà bạn cho rằng có thể tạo ra các lỗ hổng trong hệ thống của tôi, hãy cho tôi biết chúng là gì và tôi sẽ sẵn lòng chạy chúng ở đây và cho bạn biết kết quả.

        1.    yukiteru dijo

          Dưới đây tôi nhận xét một số điều về chủ đề ufw, nơi tôi nói rằng lỗi tôi đã gặp vào năm 2008, khi sử dụng Ubuntu 8.04 Hardy Heron. Họ đã sửa những gì? Rất có thể nó là như vậy, vì vậy không có lý do gì để lo lắng, nhưng ngay cả như vậy, điều đó không có nghĩa là lỗi đã ở đó và tôi có thể chứng minh nó, mặc dù nó không phải là một điều xấu để chết, tôi chỉ dừng lại. ác quỷ avahi-daemon và exim4, và vấn đề đã được giải quyết. Điều kỳ lạ nhất là chỉ có hai quy trình đó gặp sự cố.

          Tôi đã đề cập đến thực tế như một giai thoại cá nhân, và tôi cũng đưa ra quan điểm tương tự khi nói: "Tôi coi ..."

          Xin chào 🙂

    3.    giskard dijo

      +1

  5.   bao tải dijo

    @Yukiteru: Bạn đã thử nó từ máy tính của chính mình chưa? Nếu bạn đang tìm kiếm từ PC của mình, thông thường bạn có thể truy cập vào cổng dịch vụ X, vì lưu lượng bị chặn là của mạng, không phải localhost:
    http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
    https://answers.launchpad.net/gui-ufw/+question/194272

    Nếu không, vui lòng báo cáo lỗi 🙂
    Xin chào 🙂

    1.    yukiteru dijo

      Từ một máy tính khác sử dụng mạng Lan trong trường hợp nmap và qua Web bằng cách sử dụng trang này https://www.grc.com/x/ne.dll?bh0bkyd2Sử dụng tùy chọn cổng tùy chỉnh, cả hai đều đồng ý rằng avahi và exim4 đang lắng nghe từ mạng mặc dù ufw đã định cấu hình chặn của họ.

      Chi tiết nhỏ đó của avahi-daemon và exim4, tôi đã giải quyết nó bằng cách vô hiệu hóa các dịch vụ và thế là xong ... Tôi không báo cáo lỗi vào thời điểm đó và tôi nghĩ không có ý nghĩa gì khi làm điều đó bây giờ, vì điều đó đã trở lại vào năm 2008, sử dụng Hardy.

      1.    giskard dijo

        Năm 2008 là 5 năm trước; từ Hardy Heron đến Raring Ringtail có 10 * buntus. Thử nghiệm tương tự trên Xubuntu của tôi, được thực hiện ngày hôm qua và lặp lại vào ngày hôm nay (tháng 2013 năm XNUMX) cho kết quả hoàn hảo về mọi thứ. Và tôi chỉ sử dụng UFW.

        Tôi nhắc lại: Bạn có bất kỳ bài kiểm tra bổ sung nào để thực hiện không? Với niềm vui, tôi làm điều đó và tôi báo cáo những gì phát sinh từ phía này.

        1.    yukiteru dijo

          Thực hiện quét SYN và IDLE PC của bạn bằng nmap, điều này sẽ cung cấp cho bạn ý tưởng về mức độ an toàn của hệ thống.

          1.    giskard dijo

            Người đàn ông nmap có hơn 3000 dòng. Nếu bạn cho tôi các lệnh để thực hiện một cách hài lòng, tôi sẽ thực hiện và tôi sẽ báo cáo kết quả.

          2.    yukiteru dijo

            Hmm, tôi không biết về 3000 trang người đàn ông cho nmap. nhưng zenmap là một sự trợ giúp để thực hiện những gì tôi nói với bạn, nó là giao diện người dùng đồ họa cho nmap, nhưng vẫn là tùy chọn để quét SYN với nmap là -sS, trong khi tùy chọn cho quét nhàn rỗi là -sI, nhưng lệnh chính xác I sẽ là.

            Thực hiện quét từ một máy khác trỏ đến ip của máy của bạn với ubuntu, không thực hiện từ máy của chính bạn, vì đó không phải là cách nó hoạt động.

          3.    yukiteru dijo

            CƯỜI LỚN!! Sai lầm của tôi về 3000 trang, khi chúng là dòng 😛

  6.   Chúa Giêsu Israel Perales Martinez dijo

    Tôi không biết nhưng tôi nghĩ rằng một giao diện đồ họa trong GNU / Linux để quản lý tường lửa sẽ hơi thận trọng và không để mọi thứ bị lộ như trong ubuntu hoặc mọi thứ được che phủ như trong fedora, bạn nên sử dụng xD hoặc một cái gì đó để cấu hình những lựa chọn thay thế cho kẻ giết người chết tiệt xD hjahjahjaja Việc tôi chiến đấu với họ và jdk cởi mở có chút gì đó nhưng cuối cùng thì bạn cũng phải giữ nguyên tắc hôn

  7.   Mauritius dijo

    Cảm ơn tất cả những va vấp đã xảy ra trong quá khứ với iptables, hôm nay tôi có thể hiểu niverl raw, tức là nói chuyện trực tiếp với anh ấy khi nó đến từ nhà máy.

    Và nó không phải là một cái gì đó phức tạp, nó rất dễ học.

    Nếu tác giả của bài đăng cho phép tôi, tôi sẽ đăng một đoạn trích của tập lệnh tường lửa mà tôi hiện đang sử dụng.

    ## Quy tắc dọn dẹp
    iptables-F
    iptables-X
    iptables -Z
    iptables -t nat -F

    ## Đặt chính sách mặc định: DROP
    iptables -P ĐẦU VÀO THẢ
    iptables -P ĐẦU RA THẢ
    iptables -P TIẾN LÊN THẢ

    # Hoạt động trên localhost không có giới hạn
    iptables -A INPUT -i lo -j CHẤP NHẬN
    iptables -A OUTPUT -o lo -j CHẤP NHẬN

    # Cho phép máy truy cập web
    iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
    iptables -A OUTPUT -p tcp -m tcp –dport 80 -j CHẤP NHẬN

    # Cũng đã để bảo mật web
    iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
    iptables -A OUTPUT -p tcp -m tcp –dport 443 -j CHẤP NHẬN

    # Cho phép ping từ trong ra ngoài
    iptables -A OUTPUT -p icmp –icmp-type echo-request -j CHẤP NHẬN
    iptables -A INPUT -p icmp –icmp-type echo-reply -j CHẤP NHẬN

    # Bảo vệ cho SSH

    #iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate MỚI -m giới hạn –limit 30 / phút –limit-bùng nổ nhận xét 5 phút –nhận xét "SSH-kick" -j CHẤP NHẬN
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP

    # Quy tắc cho bùa hộ mệnh cho phép các kết nối đi và đến trên cổng
    iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate MỚI -m nhận xét –comment "aMule" -j CHẤP NHẬN
    iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate LIÊN QUAN ĐẾN, THÀNH LẬP -m nhận xét –comment "aMule" -j CHẤP NHẬN
    iptables -A INPUT -p udp –dport 9995 -m comment –comment "aMule" -j CHẤP NHẬN
    iptables -A OUTPUT -p udp –sport 9995 -j CHẤP NHẬN
    iptables -A INPUT -p udp –dport 16423 -j CHẤP NHẬN
    iptables -A OUTPUT -p udp –sport 16423 -j CHẤP NHẬN

    Bây giờ một chút giải thích. Như bạn có thể thấy, có các quy tắc với chính sách DROP theo mặc định, không có gì rời khỏi và vào nhóm mà bạn không nói với họ.

    Sau đó, các khái niệm cơ bản được chuyển qua, localhost và điều hướng đến mạng của các mạng.

    Bạn có thể thấy rằng cũng có các quy tắc cho ssh và amule. Nếu họ thấy tốt như thế nào họ được thực hiện, họ có thể đưa ra các quy tắc khác mà họ muốn.

    Bí quyết là xem cấu trúc của các quy tắc và áp dụng cho một loại cổng hoặc giao thức cụ thể, có thể là udp hoặc tcp.

    Tôi hy vọng bạn có thể hiểu điều này mà tôi chỉ đăng ở đây.

    1.    Cookie dijo

      Bạn nên đăng một bài giải thích về nó 😉 sẽ rất tuyệt.

  8.   @Jlcmux dijo

    Tôi có một câu hỏi. Trong trường hợp bạn muốn từ chối kết nối http và https, tôi đặt:

    máy chủ "http https" thả?

    Và như vậy với bất kỳ dịch vụ nào?

    Cảm ơn